合同编号：SFZX-2023-032

合同编号：SFZX-2023-032

省中心信息系统安全等级保护测评服务和安全风险评估服务项目采购合同

（2023 年度）

采购人（甲方）：陕西省高速公路收费中心

供应商（乙方）：西安长盛信安信息技术有限公司

甲方：陕西省高速公路收费中心

统一社会信用代码：12610000737971805P 住所地：xxxxxxxxxxxx 000 x联系人：xx、xxx

联系电话：000-00000000

乙方：西安长盛信安信息技术有限公司 统一社会信用代码：91610103MA6TY3294T

住所地：xxxxxxxxxxxx 0 xxxxxxX x 0000， 0000 x

联系人：党智博

联系电话：00000000000

双方根据《中华人民共和国政府采购法》及实施条例、《中华人民共和国民法典》和甲方采购项目有关规定，为确保甲方采购项目（项目编号：中赞招字（2023）第 49 号）的顺利实施，甲、乙双方在平等自愿原则下签订本合同，并共同遵守如下条款：

第一条 服务内容

（一）安全等级保护测评服务内容 1.服务内容

按照等级保护备案实施等标准规范及等级保护相关最新要求以及属地公安要求，当有新增信息系统或原有信息系统进行升级改造、业务系统应用发生变化时，乙方应协助陕西省高速公路收费中心开展系统定级备案工作，编制完成系统定级报告及备案表等相关定级备案

资料，向公安部门提交备案材料及电子数据文件，完成等级保护定级备案工作，并确保备案证书有效。根据网络安全等级保护相关要求，通过访谈、文档查阅、实地勘看、配置核查、工具测试、渗透测试等手段，对信息系统在管理和技术两大方面进行测评，测评分为四个过程：测评准备过程、方案编制过程、现场测评过程、分析与报告编制过程。内容包括但不限于安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理、安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面，同时，协助陕西省高速公路收费中心完成网络安全整改，通过等级保护测评。

（1）安全管理制度

应通过对安全策略、安全制度制定和发布、评审和修订等方面开展测评审查，从而降低安全管理风险。

（2）安全管理机构

应通过整个管理组织架构提供安全控制要求，包括岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等，确保形成统一指挥、协调有序、组织有力的安全管理机构。

（3）安全管理人员

应对人员管理提出安全控制要求，包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。

（4）安全建设管理

应对系统定级备案、安全方案设计、产品采购和使用、软件开发、工程实施、测试验收、系统交付等内容开展测评，确保这些活动实施科学、完善的管理，保证系统建设的质量和安全。

（5）安全运维管理

应通过环境管理、资产管理、介质管理、设备维护管理，漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面开展测评和评估，为系统的稳定运行提供必要的支持和指导。

（6）安全物理环境

通过对系统的物理机房提供安全控制要求，包括但不限于物理位置选择、物理访问控制、防盗防破坏、防雷、防火、防水防潮、防静电、电力供应等，保障物理环境条件，确保设备正常运行，减少技术故障等。

（7）安全通信网络

应包括网络架构、通信传输、可信验证，保障系统的通信传输可靠以及安全。

（8）安全区域边界

应通过对边界防护、访问控制、入侵防范、恶意代码、安全审计等开展测评，确保系统各个边界的防护手段有效执行。

（9）安全计算环境

应通过对系统边界内部的所有对象，包括网络设备、安全设备、服务器、终端、应用系统、数据对象等提出安全控制要求，对这些对象的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、数据完整性、数据保密性、数据备份与恢复、个人信息保护开展测评，评估系统关键资产的安全防护能力。

（10）安全管理中心

应通过系统管理、审计管理、安全管理的三权分立思想开展测评，对其集中管控的合理有效性进行判定，为系统的整体防护提供指导。

2.服务交付成果

包含但不限于以下内容：

（1）《**系统测评方案》

（2）《**系统等级保护差距分析报告》

（3）《**系统网络安全整改方案》

（4）《**系统等级保护测评初测报告》

（5）《**系统等级保护测评复测报告》

（二）安全风险评估服务内容 1.服务内容

依据信息安全风险评估规范，对高速公路联网收费系统（省中心）、高速公路网综合监控系统（省中心）进行安全风险评估，主要包括资 产识别分析、网络架构安全分析、威胁评估分析、脆弱性评估分析、风险分析五部分。

（1）资产识别分析

乙方应对系统安全风险评估范围内的资产进行识别，确定所有的评估对象，然后根据评估的资产在业务和应用流程中的重要程度为资产进行价值评估。

（2）网络架构安全分析

乙方应分析现有网络架构，网络层次是否清晰、架构是否合理。核心主干链路是否采用链路冗余、出口防御都通过哪些安全措施实现、安全通信传输是否采用加密通道、是否明确分区分域、各区域之间是 否进行了严格的逻辑隔离、在业务区域是否采用了应用防火墙防护、是否设置安全管理运维区域、对计算环境采用哪些安全防护手段、主 机防护采用哪种安全措施、杀毒软件相关病毒库、特征库是否更至最

新、是否采用了安全审计、审计日志是否满足保留 6 个月以上日志等。

（3）威胁评估分析

乙方应识别出对业务系统需要保护的每一项关键资产的主要威胁，即根据资产所处的环境条件和资产以前遭受威胁损害的情况进行判断。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产有不同的表现形式，也就可能造成不同程度的影响。识别主要是找出威胁由谁或什么事物引发以及威胁影响的资产是什么，即确定威胁的主体和客体。其次对每种威胁的属性（即威胁的严重程度和威胁发生的可能性）进行调查和分析，最终通过为各属性赋相对值的方式为其估价。威胁类别可包括：物理环境安全、通信网络安全、区域边界安全、安全管理制度、运维管理安全、系统安全、安全基线、应用安全等。

（4）脆弱性评估分析

乙方应首先进行管理脆弱性问卷的调查，发现整个系统在管理方面弱点，然后对评估的所有主机和网络设备进行安全漏洞扫描和人工安全检查，对各资产的系统漏洞和安全策略、应用漏洞缺陷进行调查，最后对收集到的各资产的管理和技术脆弱性数据进行综合分析，根据每种脆弱性所应考虑的因素是否符合，确定每个资产可能被威胁利用的脆弱性的权值。

（5）风险分析

乙方应采用有效的风险评估方法，分别对系统安全风险评估范围 内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影 响做出一个风险测量的列表，以便对系统所面临的风险进行详细分析，以识别风险级别及选择适当和正确的风险控制策略。在准确的识别风

险后，应提出避免风险、转移风险、降低风险和接受风险等风险处理建议。

2.服务交付成果

包含但不限于以下内容：

（1）《**系统风险评估方案》

（2）《**系统渗透测试报告》

（3）《**系统安全风险评估报告》第二条 服务要求

（一）基本要求 1.服务工期要求

自合同签订之日且具备现场实施的条件下，80 个日历日内完成系统等级保护测评和安全风险评估工作，20 个日历日内提交项目所有交付成果。如因甲方原因（系统开发未完成、设备采购未完成、配合人员不到位等非乙方原因）造成乙方无法正常进场实施项目的，工期顺延。

2.服务地点

陕西省高速公路收费中心。 3.服务范围

（1）安全等级保护测评服务范围：陕西省高速公路联网收费系统（省中心）1 个第三级信息系统和陕西省高速公路省级视频云联网监测系统、陕西省高速公路收费中心门户网站、陕西省高速公路收费中心协同办公系统、陕西省高速公路收费稽查信息电子报送系统、互联网+高速公路公众出行服务平台、陕西省高速公路通行数据分析展现系统 6 个第二级信息系统。

（2）安全风险评估服务范围：陕西省高速公路联网收费系统（省中心）、陕西省高速公路网综合监控系统（省中心）

4.服务依据

（1）《中华人民共和国网络安全法》（中华人民共和国主席令第53 号）

（2）《中华人民共和国计算机信息系统安全保护条例》（中华人民共和国国务院令第 147 号）

（3）《信息安全技术 计算机信息系统安全保护等级划分准则》

（GB 17859-1999）

（4）《信息安全技术 网络安全等级保护基本要求》（ GB/T 22239-2019）

（5）《信息安全技术 网络安全等级保护安全设计技术要求》

（GB/T 25070-2019）

（6）《取消高速公路省界收费站总体技术方案》（交公路函〔2019〕 320 号）

（7）《联网收费系统省域系统并网接入网络安全基本技术要求》

（交科技函〔2019〕338 号）

（8）《陕西省高速公路联网收费系统网络安全总体方案》（陕交发〔2019〕88 号）

（二）项目管理 1.总体要求

乙方应在统一组织协调下，开展好前期调研、现场实施和报告撰写等工作，所提供的项目经理和实施人员应是具有丰富经验和专业技能的技术骨干，应有同类项目经验。在以往参与的项目中，应具有项

目实施、熟悉项目需求和团队建设方面的优势，应在项目全过程中严格遵循各项网络安全管理制度要求，确保项目顺利开展。

2.项目风险控制

乙方应能够对信息安全等级保护测评及安全风险评估项目过程进行充分的风险考虑，在项目实施过程中，应做好计划与安排，不得影响系统正常业务工作开展。

（三）项目人员管理要求

为确保安全等级保护测评及安全风险评估服务工作的顺利开展，乙方应对服务人员素质整体把关，原则上应满足以下条件：

1.指定一名项目经理，负责项目的整体统筹管理、资源协调、服务质量总体把关，同时应具有预见和应对项目风险的能力。

2.项目组成员（不包括项目经理）至少三人以上。

3.为保证项目的连续性，在项目服务周期内未经甲方同意不得随意更换服务人员。

2.4 保密要求

项目实施过程中所收集、产生的所有与本项目相关文档、资料，包括文字、图片、表格、数字等各种形式所属权均归属省中心，乙方必须对所涉及到的内容保密，应按照要求签署保密协议。

第三条 服务费用

1.服务总费用为人民币大写： 肆拾捌万陆仟xx元整，即人民币小写 486,500.00 元（含税价）。

2.本合同执行期间服务总费用不变，甲方无须另向乙方支付本合同规定之外的其他任何费用。

第四条 服务费支付方式

1.合同签订后，15个工作日内支付合同价款40%的预付款，人民币大写壹拾玖万肆仟xxx整，即人民币小写194600.00元；完成项

目实施内容并提交所有交付成果，经验收合格后15个工作日内，支付剩余款项， 人民币大写贰拾玖万壹仟玖佰元整， 即人民币小写 291900.00元。

2.乙方须向甲方出具合法有效的完税发票，甲方进行支付结算。

3.结算方式：银行转账。第五条 知识产权

乙方应保证所提供的服务或其任何一部分均不会侵犯任何第三方的专利权、商标权或著作权。因乙方侵权导致甲方产生的诉讼费、律师费、公证费、鉴定费、交通费、保全费、保全保险费等由乙方承担。

第六条 无产权瑕疵条款

乙方保证所提供的服务的所有权完全属于乙方且无任何抵押、查封等产权瑕疵。如有产权瑕疵的，视为乙方违约。乙方应按照合同总价的 20%向甲方支付违约金。

第七条 甲方的权利和义务

1.甲方有权对合同规定范围内乙方的服务行为进行监督和检查，拥有监管权。有权定期核对乙方提供服务所配备的人员数量。对甲方认为不合理的部分有权下达整改通知书，并要求乙方限期整改。

2.负责检查监督乙方管理工作的实施及制度的执行情况。

3.根据本合同规定，按时向乙方支付应付服务费用。

4.国家法律、法规所规定由甲方承担的其它责任。第八条 乙方的权利和义务

1.对本合同规定的委托服务范围内的项目享有管理权及服务义务。

2.根据本合同的规定向甲方收取相关服务费用，并有权在本项目管理范围内管理及合理使用。

3.及时向甲方通告本项目服务范围内有关服务的重大事项，及时配合处理投诉。

4.接受项目行业管理部门及政府有关部门的指导，接受甲方的监督。

5.国家法律、法规所规定由乙方承担的其它责任。第九条 违约责任

1.甲乙双方必须遵守本合同并执行合同中的各项规定，保证本合同的正常履行。

2.如因乙方工作人员在履行职务过程中的的疏忽、失职、过错等故意或者过失原因给甲方造成损失或侵害，包括但不限于甲方本身的财产损失、由此而导致的甲方对任何第三方的法律责任等，乙方对此均应承担全部的赔偿责任，包括但不限于直接经济损失及甲方因此开支的交通费、公证费、鉴定费、诉讼费、仲裁费、律师费、保全费、保全保险费等一切费用。

3.如因乙方自身原因导致未能如期交付工作成果，则每延期 1日，应向甲方支付应付款项的 0.1 %作为违约金。

4.乙方服务质量不符合约定的，甲方有权要求其限期整改，自限期整改通知发出之日起 15 内乙方整改不达标的或乙方累计收到甲方

5 次以上限期整改通知的，甲方有权单方面解除合同并要求乙方退还已支付的服务费。

第十条 不可抗力事件处理

1.在合同有效期内，任何一方因不可抗力事件导致不能履行合同，则合同履行期可延长，其延长期与不可抗力影响期相同。

2.不可抗力事件发生后，应立即通知对方，并寄送有关权威机构出具的证明。

3.不可抗力事件延续 60 天以上，双方应通过友好协商，确定是否继续履行合同。

第十一条 合同争议解决的方式

本合同在履行过程中发生的争议，由甲、乙双方当事人协商解决，协商不成的依法向甲方所在地人民法院起诉。

双方一致同意若因本合同项下争议以诉讼方式解决纠纷时，人民法院向各方送达相关法律文书的送达地址为本合同首部甲乙载明的地址；法律文书送达到地址时，无论是否签收，都视为送达完成。

第十二条 合同文件

下列文件构成本合同的组成部分，应该认为是一个整体，彼此相互解释，相互补充。组成合同的多个文件的优先适用顺序如下：本合同书、中标通知书、竞争性磋商文件、竞争性磋商响应文件。

第十三条 合同生效及其它

1.合同经双方法定代表人、负责人或授权委托代理人签字并加盖单位公章后生效。

2.本协议一经生效，双方均应严格遵守；如有违约，守约方可依照《中华人民共和国民法典》及有关法律、法规规定，追究违约方的法律责任。

3.本协议未尽事宜双方可另行协商，签订补充协议。

4.本协议一式捌份，甲乙双方各执肆份，具有同等法律效力。

（以下无正文，为双方签章处）

甲方:陕西省高速公路收费中心(xx)负责人（授权代表）

（签字）：

纳税人识别号：12610000737971805P

开户行：中国银行西安边家村支行账号：103207335625

地址：xxxxxx000x 签约日期： 年 月 日

乙方：xxxxxx信息技术有限公司（xx）法定代表人（授权代表）（签字）：

纳税人识别号：91610103MA6TY3294T

开户行：招商银行股份有限公司陕西自贸试验区西安xx科技支行账号：129912185710501

地址：xxxxxxxxxxxx 0 xxxxxx X x 0000.0000签约日期： 年 月 日

附件

陕西省高速公路收费中心（以下简称“甲方”）委托西安长盛信安信息技术有限公司（以下简称“乙方”）进行省中心信息系统安全等级保护测评服务和安全风险评估服务。为了在具体实施的过程中，使甲乙双方的保密信息、知识产权和合同相关信息不受到侵害。为此甲、乙双方在履行本协议时，均应遵守《中华人民共和国保守国家秘密法》和《反不正当竞争法》等法律规定，并严格承担以下保密责任：

第一条 保密内容

1.乙方需要保密内容：乙方在履行合同的过程中所获悉的甲方提供的系统信息资产台账、系统网络拓扑信息、系统配置信息、系统运行的数据等，以及经甲方声明需要保密信息。

2.甲方需要保密内容：乙方在项目服务中使用的流程、方法以及乙方声明需要保密的其他信息。

第二条 保密信息的使用

1.甲方应指定专门的项目协调人员配合乙方工作，乙方在履行合同过程中如需了解或获取甲方相关资料或信息，应向甲方项目协调人员索取。

2.甲方项目协调人员应做好保密信息管理及调研情况的记录工作，乙方应予以配合。

3.乙方可按以下方式获取信息: 书面、交付项目、启动信息存取

（如存在数据库中的信息）。

第三条 保密的范围

1.乙方只在本项目需要时才能使用甲方提供的秘密信息。乙方应将甲方提供信息的使用限制在与本项目有关的人员、保密协议签署者范围内。

2.甲方应将乙方在本项目中使用到的流程和方法等技术信息限制在与本项目有关的人员、保密协议签署者范围内。

第四条 保密义务

1.未经许可不得获取对方与本次工作无关的秘密信息；

2.不得向任何第三方披露、转让或协助使用上述秘密信息；

3.如发现上述秘密被泄露或者自己过失泄露，应当采取有效措施防止泄密进一步扩大，并及时向对方报告；

4.凡未经对方书面同意，一方以直接、间接、书面、口头等形式为第三方提供第一条保密内容的行为均属违反保密义务的行为。但以下情况不属于违反保密义务：

（1）获取或披露一方已公开发表，或已为公众所知的信息；

（2）获取或披露一方已书面授权公开的信息；

（3）获取的信息属于一方通过合法手段从第三方在未受到任何限制的情况下获得的；

（4）根据法律、法规，司法或行政命令的要求向有关国家机关提供他方的秘密信息，提供前必须经过双方的书面认可。

第五条 保密期限

甲、乙双方确认，双方的保密义务从本协议签署之日起生效。自本协议生效之日起算，保密期限为无限期。

第六条 违约责任

1.如果一方不履行本协议第四条所规定的保密义务，应当承担给

对方造成的直接损失的赔偿责任，并承担合同金额 20%的违约金。 2.因一方的违约行为侵犯了另一方的合法权益，对方可以选择根

据本协议要求其承担违约责任，或者根据国家有关法律、法规要求其承担侵权责任。

3.任何一方及其工作人员未按照本协议约定使用保密信息或者泄露保密信息而触犯有关法律，一方都可以有权取得赔偿，还将依法追究另一方的行政及刑事责任。

第七条 争议的解决

甲乙双方友好协商解决本协议中的争议。协商不成的，任何一方都有权向甲方所在地人民法院提起诉讼。

第八条 法律适用、协议文本及效力和变更

1.本协议适用中华人民共和国的法律。

2.本协议的任何修改必须经过双方协商一致，并以书面方式确认方为有效。

甲方（公章）：陕西省高速公 路收费中心	乙方（公章）：西安长盛信安信息技 术有限公司
负责人（授权代表） （签字）：	法定代表人（授权代表） （签字）：
签订日期： 年 月 日	签订日期： 年 月 日